1、1计算机学院网络工程 2012(1)班 学号:3112006354 姓名:詹德超实训二 用 WireShark 分析 IP、TCP、HTTP一、实验目的1. 分析 HTTP 协议报文的首部格式,理解 HTTP 协议的工作过程。2. 用 Wireshark 捕获和分析 HTTP 报文。二、实验设备1. 接入 Internet 的计算机主机;2. 抓包工具 WireShark。三、实验内容1HTTP 协议简介HTTP 是超文本传输协议 (Hyper Text Transfer Protocol)的缩写,用于 WWW 服务。(1)HTTP 的工作原理 HTTP 是一个面向事务的客户服务器协议。尽管
2、HTTP 使用 TCP 作为底层传输协议,但HTTP 协议是无状态的。也就是说,每个事务都是独立地进行处理。当一个事务开始时,就在万维网客户和服务器之间建立一个 TCP 连接,而当事务结束时就释放这个连接。此外,客户可以使用多个端口和服务器(80 端口)之间建立多个连接。其工作过程包括以下几个阶段。 服务器监听 TCP 端口 80,以便发现是否有浏览器 (客户进程)向它发出连接请求; 一旦监听到连接请求,立即建立连接。 浏览器向服务器发出浏览某个页面的请求,服务器接着返回所请求的页面作为响应。 释放 TCP 连接。 在浏览器和服务器之间的请求和响应的交互,必须遵循 HTTP 规定的格式和规则。
3、 当用户在浏览器的地址栏输入要访问的 HTTP 服务器地址时,浏览器和被访问 HTTP 服务器的工作过程如下: 浏览器分析待访问页面的 URL 并向本地 DNS 服务器请求 IP 地解析; DNS 服务器解析出该 HTTP 服务器的 IP 地址并将 IP 地址返回给浏览器; 浏览器与 HTTP 服务器建立 TCP 连接,若连接成功,则进入下一步; 浏览器向 HTTP 服务器发出请求报文 (含 GET 信息) ,请求访问服务器的指定页面;2 服务器作出响应,将浏览器要访问的页面发送给浏览器,在页面传输过程中,浏览 器会打开多个端口,与服务器建立多个连接; 释放 TCP 连接; 浏览器收到页面并显
4、示给用户。 (2)HTTP 报文格式 HTTP 有两类报文:从客户到服务器的请求报文和从服务器到客户的响应报文。图 1显示了两种报文的结构。 图 1 HTTP 的请求报文和响应报文结构 在图 1 中,每个字段之间有空格分隔,每行的行尾有回车换行符。各字段的意义如下: 请求行由三个字段组成: * 方法字段,最常用的方法为 “GET”,表示请求读取一个万维网的页面。常用的方法 还有 “HEAD(指读取页面的首部) ”和“POST(请求接受所附加的信息) ; * URL 字段为主机上的文件名,这时因为在建立 TCP 连接时已经有了主机名; * 版本字段说明所使用的 HTTP 协议的版本,一般为 “H
5、TTP/1.1” 。 状态行也有三个字段: * 第一个字段等同请求行的第三字段; * 第二个字段一般为 “200”,表示一切正常,状态码共有 41 种,常用的有:301 (网站已转移) ,400(服务器无法理解请求报文) ,404(服务器没有锁请求的对象)等; * 第三个字段时解释状态码的短语。 根据具体情况,首部行的行数是可变的。请求首部有 Accept 字段,其值表示浏览器可以接受何种类型的媒体;Accept-language,其值表示浏览器使用的语言;User-agent 表明可用的浏览器类型。响应首部中有 Date、Server、Content-Type、Content-Length
6、等字段。在请求首部和响应首部中都有 Connection 字段,其值为 Keep-Alive 或 Close,表示服务器在传送完所请求的对象后是保持连接或关闭连接。 若请求报文中使用 “GET”方法,首部行后面没有实体主体,当使用 “POST”方法是,附加的信息被填写在实体主体部分。在响应报文中,实体主体部分为服务器发送给客户的对象。 3图 2 和图 3 显示了 Wireshark 捕获的 HTTP 请求和响应报文,结合上面的介绍,请自己分析和体会。 图 2 HTTP 请求报文示例 图 3 HTTP 响应报文示例 2实验环境与说明(1)实验目的 在 PC 机上访问 Web 页面,截获报文,分析
7、 HTTP 协议的报文格式和 HTTP 协议的工作过程。 (2)实验设备和连接 本地实验室环境,无须设备连接; 注意:请通过访问可以连接的 WWW 站点或使用 IIS 建立本地 WWW 服务器来进行实验。3实验步骤实验 1、简单网页捕获与分析。步骤 1:在 PC 机上运行 Wireshark,开始截获报文; 步骤 2:打开浏览器,清空浏览器的缓存。从浏览器上访问下列 URL 地址。打开网页,待浏览器的状态栏出现 “完毕”信息后关闭网页。 http:/www.rfc-editor.org/CurrQstats.txt浏览器中将显示一个只有一行或多行文字的非常简单的 HTML 文件。步骤 3:停止
8、截获报文,将截获的报文命名为 test1 保存。 分析截获的报文,回答以下几个问题: 4(1) 综合分析截获的报文,查看有几种 HTTP 报文? 答:有两类报文:从客户到服务器的请求报文和从服务器到客户的响应报文。(2) 在截获的 HTTP 报文中,任选一个 HTTP 请求报文和对应的 HTTP 应答报文,仔细分析它们的格式,填写表 1 和表 2。 从应用层分析报文格式表 1 HTTP 请求报文格式方 法 GET 版 本 HTTP/1.1URL /CurrQstats.txt首部字段名 字段值 字段所表达的信息Accept */* 浏览器支持的媒体类型为*/*Accept-Encoding g
9、zip, deflate 支持的编码类型User-AgentUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 3.0.4506.2152; .NET4.0C; .NET4.0E)使用的用户代理 Mozilla/4.0Host www.rfc-editor.org 请求的服务地址Connection Keep-Alive 连接类型为:持久连接表
10、2 HTTP 应答报文格式 版 本 HTTP/1.1 状态码 200短 语 OK首部字段名 字段值 字段所表达的信息Date Fri, 11 Dec 2015 01:46:46 GMT 报文创建时间Server Apache 服务器为 ApacheLast-Modified Tue, 08 Dec 2015 07:20:02 GMT 浏览器当前资源最后缓存时间ETag “7a3d0e-502-5265dcd5f9280“ 缓存相关的头Accept-Ranges bytes 单位Content-Length 1282 实体内容长度Keep-Alive timeout=15, max=99 保持多
11、长时间Connection Keep-Alive 保持持久连接Content-Type text/plain 告诉浏览器回送数据类型(3) 分析在截获的报文中,客户机与服务器建立了几个连接?服务器和客户机分别使用了哪几个端口号? 5客户机:3505 服务器:80(4)综合分析截获的报文,理解 HTTP 协议的工作过程,将结果填入表 3 中。 表 3 HTTP 协议工作过程HTTP 客户机端口号 HTTP 服务器端口号 所包括的报文号 步骤说明3050 80 140 客户端发起 tcp 请求3050 80 144 服务器应答 tcp 请求3050 80 145 客户端第三次握手3050 80 1
12、46 发送 http 请求报文3050 80 157 服务器回应 http 请求(4) 分析此次页面获取过程中建立了几次 TCP 链接,此链接是否释放了。答:并没有释放连接;没有发送 FIN 报文。实验 2、超媒体页面捕获与分析(1) 启动浏览器,将浏览器的缓存清空。(2) 启动 WireShark 分组俘获器。开始 WireShark 分组俘获。(3) 在浏览器的地址栏中输入某个地址,(需要满足该地址下的网页是包含多个内嵌对象即可)。(4) 停止 WireShark 分组俘获,将捕获结果保存为 test2(5) 重新启动 Web browser。启动 WireShark 分组俘获器,进行分组
13、捕获。在 Web browser 当中重新输入相同的 URL 或单击浏览器中的“刷新”按钮。(6) 步骤同(5)。将捕获结果保存为 test3。根据操作回答下面的问题。(1) 填写浏览器的输入的 URL 地址。在命令行输入 ipconfig/flushdns 完成操作URL 地址: (2) 分析 test2 的捕获文件,你的浏览器一共发出了多少个 HTTP GET 请求,每个 GET 请求的对象是什么?这些请求被发送到的目的地的 IP 地址是多少?序号 GET 的对象 目的地的 IP 地址 与此 GET 请求相对应的响应报文的状态码25 / 119.75.218.70 20038 /img/b
14、aidu_sylogo.gif 119.75.218.70 20039 /cache/global/img/gs.gif 119.75.218.70 20045 /r/www/cache/sug/js/bdsug-1.1.js 119.75.215.108 20050 /r/www/cache/sug/js/hps-1.5.js 119.75.215.108 20056 /r/www/img/i-1.0.0.png 119.75.215.108 200111 /favicon.ico 119.75.218.70 200(3) 分析你的浏览器向服务器发出的第一个 HTTP GET 请求的内容,在
15、该请求报文中,是否有一行是:IF-MODIFIED-SINCE?分析服务器响应报文的内容,服务器是否明确返回了文件的内容?如何获知?6If-Modified-Since 是标准的 HTTP 请求头标签,在发送 HTTP 请求时,把浏览器端缓存页面的最后修改时间一起发到服务器去,服务器会把这个时间与服务器上实际文件的最后修改时间进行比较。如果时间一致,那么返回 HTTP 状态码 304(不返回文件内容),客户端接到之后,就直接把本地缓存文件显示到浏览器中。如果时间不一致,就返回 HTTP 状态码 200 和新的文件内容,客户端接到之后,会丢弃旧文件,把新文件缓存起来,并显示到浏览器中。(4) 分
16、析捕获文件 test3 分析你的浏览器向服务器发出的第二个“HTTP GET”请求,在该请求报文中是否有一行是:IF-MODIFIED-SINCE?如果有,在该首部行后面跟着的信息是什么?没有,是最新的缓存,服务器回应 304(5) 服务器对第二个 HTTP GET 请求的响应中的 HTTP 状态代码是多少?服务器是否明确返回了文件的内容?请解释。如果不是最新,服务器将返回 200,并发送最新内容。实验 3、观察在 HTTP/1.0 和 HTTP/1.1 下的 TCP 连接的建立与释放过程(何时、由谁启动)HTTP/1.0 协议使用非持久连接 ,即在非持久连接下,一个 tcp 连接只传输一个 Web 对象,;HTTP/1.1 默认使用持久连接 (然而,HTTP/1.1 协议的客户机和服务器可以配置成使用非持久连接)在持久连接下,不必为每个 Web 对象的传送建立一个新的连接 ,一个连接中可以传输多个对象
